Notepad++ 8.9.4 llega a toda velocidad: Parches de seguridad críticos corrigen vulnerabilidades en el motor de búsqueda y fallos de sistema
- 06 May 2026 07:49 PM
Notepad++ ha lanzado la versión 8.9.4, una actualización de seguridad y mantenimiento que corrige dos vulnerabilidades críticas identificadas en versiones anteriores. Disponible desde el 25 de abril de 2026, este lanzamiento aborda fallos de inyección de cadenas (string injection) que podían provocar fugas de memoria y cierres inesperados, además de resolver numerosos errores de estabilidad en la interfaz y el instalador.
La comunidad de desarrollo de Notepad++, liderada por Don Ho, ha publicado la versión 8.9.4 de su popular editor de texto y código fuente, apenas unos días después del lanzamiento de la versión 8.9.3.
Esta actualización tiene un carácter prioritario para millones de usuarios en todo el mundo, ya que aborda vulnerabilidades de seguridad activas descubiertas recientemente por investigadores externos bajo un programa de divulgación responsable.
Parches Críticos para Vulnerabilidades de Seguridad
El motor principal de este lanzamiento urgente es la corrección de dos vulnerabilidades de seguridad, catalogadas como de gravedad media, que afectan a la función "Buscar en archivos" (Find in Files).
La Amenaza: String Injection en Find in Files
Se ha identificado un fallo de inyección de cadenas (format string injection) en la funcionalidad de búsqueda en archivos del programa. La vulnerabilidad reside en el manejo del archivo de configuración de idioma nativeLang.xml.
Específicamente, cuando el campo “find-result-hits” en la traducción contiene un especificador de formato como "%s", la aplicación procesa incorrectamente los datos de entrada durante las operaciones de búsqueda.
Estas vulnerabilidades, registradas como CVE-2026-3008 y CVE-2026-6539, fueron reportadas por el investigador Hazley Samsudin bajo la política de divulgación responsable de CSA.
El parche soluciona el comportamiento anómalo que podría desencadenar:
Fuga de memoria (Memory Leak):
Exposición de direcciones de memoria sensibles del sistema.
Denegación de Servicio (DoS):
Cierre inesperado de la aplicación al ejecutar ciertos patrones de búsqueda, interrumpiendo el flujo de trabajo del usuario .
Riesgo de Escalamiento:
Aunque no permite la ejecución directa de código, la filtración de información de memoria puede ser utilizada en ataques más complejos para eludir medidas de seguridad como la aleatorización del espacio de direcciones (ASLR).
El riesgo principal:
Dado que Notepad++ es una herramienta fundamental en equipos de cómputo de programadores, administradores de sistemas y entornos corporativos, una aplicación que se cierra inesperadamente al buscar archivos puede provocar la pérdida de datos no guardados o detener por completo la productividad.
La comunidad de seguridad recomienda encarecidamente aplicar el parche CVE-2026-3008 con prioridad.
Correcciones Estructurales y de Estabilidad para el Editor
Además de los parches de seguridad críticos, Notepad++ 8.9.4 incorpora un extenso conjunto de correcciones que mejoran la experiencia general del editor en equipos de cómputo con Windows.
| Área / Componente | Corrección incluida |
|---|---|
| Actualizaciones Base | Se actualizan los motores de edición Scintilla a la versión 5.6.1 y Lexilla a la versión 5.4.8, resolviendo problemas de renderizado en archivos .bat y de resaltado de sintaxis (por ejemplo, en JSON) relacionados con errores de escape de comillas. |
| Interfaz Estable | Se solucionan múltiples fallos visuales en la interfaz: el contenido de los diálogos flotantes podría no mostrarse, los cuadros de diálogo de marcado tenían fallos gráficos y había errores visuales al alternar la vista grupal en la lista de documentos. |
| Herramientas de Edición | Se corrige una regresión grave en el Editor de Columnas: el editor ya no se cierra inesperadamente al deshacer una entrada incorrecta en espacio virtual, y los campos vacíos ya no causan errores de entrada. |
| Gestión de Archivos | Se soluciona un cierre inesperado específico al intentar arrastrar un archivo cuya ruta total supera los 259 caracteres, un problema común en estructuras de carpetas profundas en sistemas Windows. |
Mejoras en el Instalador MSI y Experiencia de Usuario
La versión 8.9.4 incluye parches importantes para la instalación del software, especialmente para entornos empresariales:
-
Se ha corregido un error crítico que causaba la detención o fallo en el registro del menú contextual durante la instalación mediante NSIS y MSI.
-
Además, el instalador MSI ya no muestra números hexadecimales aleatorios en el cuadro de diálogo de Control de Cuentas de Usuario (UAC), mejorando la claridad visual.
Para los administradores de sistemas, se ha añadido la propiedad NPP_LANG a los instaladores MSI, que permite forzar una localización (idioma) de instalación específica de forma automática, sin intervención manual.
También se ha añadido información de versión en la propiedad "Comentarios" del archivo MSI, facilitando la identificación de la versión en despliegues masivos.
En cuanto a la versión portable, el equipo ha decidido omitir intencionadamente el archivo config.xml en el paquete de distribución para evitar problemas de configuración.
- Esta medida previene que los usuarios que actualizan sobrescribiendo los archivos pierdan sus ajustes personalizados, ya que el programa regenera la configuración por defecto de forma segura al arrancar.
Disponibilidad y Recomendaciones
Notepad++ 8.9.4 ya está disponible para su descarga gratuita a través del sitio web oficial del proyecto y su repositorio en GitHub.
La actualización está disponible para sistemas Windows (32 y 64 bits), desde Windows 7 hasta Windows 11, e incluye ediciones instalables y portátiles.
Dado que las vulnerabilidades de seguridad CVE-2026-3008 y CVE-2026-6539 afectan específicamente a la versión 8.9.3 (y anteriores), se recomienda a todos los usuarios actualizar a la versión 8.9.4 con carácter inmediato para proteger la integridad de sus datos y evitar interrupciones en su flujo de trabajo.